Titkos kulcsok a Key Vaultban
A titkos kódok nem titkos kódok, ha mindenkivel meg vannak osztva. A bizalmas elemek, például a kapcsolati sztring, a biztonsági jogkivonatok, a tanúsítványok és a jelszavak tárolása a kódban csak meghív valakit, hogy vigye el őket, és használja őket valami másra, mint amire ön szánta őket. Még az ilyen típusú adatok tárolása a webes konfigurációban is rossz ötlet; Lényegében bárki számára engedélyezi, aki hozzáfér a forráskódhoz vagy a webkiszolgálóhoz a személyes adatokhoz.
Az ilyen titkos kódokat ajánlott mindig az Azure Key Vaultban tárolni.
Mi az Azure Key Vault
Az Azure Key Vault egy titkoskód-tároló: központi felhőalapú szolgáltatás az alkalmazások titkos kódjainak tárolásához. A Key Vault azáltal tartja biztonságban bizalmas adatait, hogy az alkalmazáskulcsokat egyetlen központi helyen tárolja, és biztonságos hozzáférést, engedély-ellenőrzést és hozzáférés-naplózást biztosít.
A titkos kódok külön, egyedileg konfigurált tárolókban helyezkednek el, amelyekhez külön biztonsági szabályzatok vezérlik a hozzáférést. Adataihoz ekkor egy REST API-n, vagy a legtöbb nyelvhez elérhető ügyfél-SDK-n keresztül férhet hozzá.
Fontos
A Key Vault a konfigurációs titkos kódok kiszolgálói alkalmazások számára való tárolására szolgál. Nem célja az alkalmazás felhasználóihoz tartozó adatok tárolása, és nem használható az alkalmazás ügyféloldali részén. Ez tükröződik a teljesítményjellemzőiben, az API-jában és a költségmodelljében.
A felhasználói adatokat máshol kell tárolni, például egy Azure SQL-adatbázisban transzparens adattitkosítással vagy egy tárfiókban Storage Service Encryption használatával. Az alkalmazás titkos kulcsait a Key Vaultban lévő adattárak eléréséhez használhatja.
Miért érdemes a titkos kódokat Key Vaultban tárolni
A kulcskezelés és a titkos kódok tárolása bonyolulttá válhat és hibalehetőségeket rejt, ha manuálisan végzik. A tanúsítványok manuális elforgatása azt jelenti, hogy előfordulhat, hogy néhány órára vagy napra nem kerül sor. Amint már említettük, ha kapcsolati sztringeket ment a konfigurációs fájljaiba vagy kódtárába, akkor valaki ellophatja hitelesítő adatait.
A Key Vaultban a felhasználók kapcsolati sztringeket, titkos kódokat, jelszavakat, tanúsítványokat, hozzáférési szabályzatokat, fájlzárolókat (amelyekkel az Azure-beli elemek csak olvashatóvá tehetők) és automatizálási szkripteket tárolhatnak. Emellett naplózza a hozzáférést és a tevékenységet, és lehetővé teszi a hozzáférés-vezérlés (IAM) monitorozását az előfizetésben. Diagnosztikával, metrikákkal, riasztásokkal és hibaelhárítási eszközökkel is rendelkezik, amelyek biztosítják a szükséges hozzáférést.
További információk az Azure Key Vault használatáról: Titkos kulcsok kezelése a webalkalmazásokban az Azure Key Vaulttal.
Összesítés
A hitelesítő adatok ellopása, a manuális kulcsváltás és a tanúsítványmegújítás a múlté lehet, ha jól kezeli a titkos kulcsokat az Azure Key Vault használatával.